![見出し画像](https://assets.st-note.com/production/uploads/images/143274688/rectangle_large_type_2_73a22417d25a6d334700e4a61f182dc0.png?width=800)
デジタル署名と認証局~情報セキュリティマネジメント(2024.06.06)」
参考書
デジタル署名と認証局
ハッシュ関数
文字列を入力すると、一定の長さの値を出力する関数
ダイジェスト
ハッシュ関数によって出力される値
メッセージを短くまとめた値
データサイズは一般的に256桁などの固定長のビット列
入力したメッセージの長さにかかわらず、ダイジェストは固定長
ダイジェストを元のメッセージに戻すことはできない
SHA
Secure Hash Algorithm
ハッシュ関数のさまざまな種類があるアルゴリズムの一つ
SHA-1、SHA-2…などのバージョンがあるが、現在は、SHA-2が一般的
SHA-256
256ビットの長さのダイジェストを出力するハッシュ関数のアルゴリズムのこと
デジタル署名
公開鍵暗号方式を使って、データに電子的に署名を行うこと
企業がインターネットを使って文書を送る際に使われる
デジタル署名の大原則
→秘密鍵で暗号化した文書は、ペアとなる公開鍵でしか復号できない特定の人のみ暗号化でき、誰でも復号できる
デジタル署名の流れ
送信者
メッセージをハッシュ関数を使ってダイジェストにする
ダイジェストを秘密鍵を使って暗号化し、「署名」を作る
メッセージに署名を付けて送信する
受信者
メッセージをハッシュ関数を使ってダイジェストにする
メッセージについてきた署名を公開鍵を使って復号し、ダイジェストにする
最後に、2つのダイジェストを比較して、同じであればなりすましでないことが証明される
文章の作成者(文章を暗号化した人)を特定できるため、公開鍵方式の欠点であった「なりすまし」を検知できる。また、同時に「内容の改ざん」も検知できる
公開鍵は誰でも入手できるので、見積書や請求書が漏洩した場合、その内容は第三者でも閲覧できる
通常は、公開鍵暗号方式と組み合わせることで、第三者が読めないようにして文書を送信する
認証局とデジタル証明書の仕組み
送信者は認証局に公開鍵を送る
認証局は、送られた情報を元にデジタル証明書を発行する
デジタル証明書には、送信者の公開鍵と認証局のデジタル署名が含まれる
送信者はデジタル証明書を受信者に送る
受信者は、デジタル証明書から、公開鍵を取り出す。また、デジタル証明書についている認証局のデジタル署名から、その公開鍵が送付者のものであると信用できる
PKI
Public Key Infrastructure:公開鍵基盤
認証局を使って、「なりすまし」を防ぐ仕組みのこと
公開鍵暗号方式やデジタル署名で使用する「公開鍵」の持ち主を保証するためのインフラ(基盤)
PKIとは、公開鍵の正当性を認証局に保証してもらう仕組みのこと
リスクマネジメント
リスクマネジメント
会社の活動に伴って発生するあらゆるリスクを管理し、そのリスクによる損失を最小の費用で食い止めるためのプロセス
リスクマネジメントの必要性
企業は、さまざまなリスクから会社の資産を守るためにいろいろな対策を行う。
対策には、ヒト、モノ、カネ、情報などの経営資源が必要になるため、すべてのリスクに対応していては、費用がいくらあっても足りない。
リスク対策の費用対効果を最大化するためにさまざまなプロセスを実施する。
リスクマネジメントのプロセス
リスク特定
リスクを洗い出すリスク分析
特定したリスクの発生確率と、損害の大きさを調べるリスク評価
発生確率と損害の大きさからリスクに優先順位を付けるリスク対応
どのような対処を、いつまでに行うかを決める
リスクアセスメント
1~3のプロセスを合わせていう
4つのリスク対応策
リスク対応では、明確になったリスクに対して、どんな対策を行うかを決める。
リスク回避
リスクに関わる作業をしないこと。
例)リスクのある作業を業務から外すこと
リスク低減
リスクの発生確率を下げること
リスク軽減とも呼ばれる
例)脆弱性に対して、情報セキュリティ対策を講じることなど
リスク移転
リスクを自社から他社へ移すこと
リスク共有、リスク転嫁とも呼ばれる
例)リスクのある作業を外部委託したり、保険をかけたりすることなど。
リスク保有
リスクをそのまま受け入れること
「何もしない」という対応策
リスク受容とも呼ばれる
BCM
Business Continuity Management
事業継続管理
大規模な災害などによって、企業活動を支える重要な情報システムに障害が発生したような場合でも、企業活動を継続するための経営手法
この手法のポイントは「事前に計画し、準備しておくこと」
具体例1)システムの二重化や分散配置
具体例2)停電に備えた、自家発電装置の調達
BCP
Business Continuity Plan
事業継続計画
災害や事故などの不測の事態を想定して、事業をいかに継続するかをまとめた計画
情報セキュリティマネジメント
情報セキュリティマネジメント
情報セキュリティの確保に組織的、体系的に取り組むこと
リスクマネジメントの1つ
経営資源の1つである情報に対するリスクを対象としたマネジメント
ISMS
Information Security Management System:情報セキュリティマネジメントシステム
組織の情報資産について、機密性、完全性、可用性の3つをバランスよく維持・管理するための仕組み
簡単にいうと、情報セキュリティマネジメントをバランスよく行う仕組み(システム)である。
バランスよくというのは、コストパフォーマンスを考えてということ
コストパフォーマンスを考慮することが重要
ISMS適合性評価制度
JIS Q 27001という規格によって標準化されている
JIS Q 27001に基づいて、第三者が企業を審査する制度のこと
情報セキュリティマネジメントシステムが、適切に構築、運用され、ISMS認証基準の要求事項に適合していることを特定の第三者機関が審査して認証する制度
ISO規格は、番号が小さいほど古い規格
情報セキュリティマネジメントの三大特性
ISMSは、組織の情報資産について「維持・管理すべき特性」として主に3つを定めている
機密性
認められた人だけが情報にアクセスできること
失われる例
機密情報が格納されたUSBメモリが盗難にあった
社内のサーバに不正侵入されて情報が漏洩した
ネットワークを流れるデータを盗聴された
完全性
情報が正確であり、改ざんや破壊が行われていないこと
失われる例
顧客情報管理システムの顧客情報が誤った内容のまま運用されていた
Webページが改ざんされていた
可用性
必要なときに情報にアクセスできること
失われる例
取引先との電子決裁システムがDos攻撃を受け、処理ができなくなった
空調の故障で温度が上がり、サーバが停止した。
システムのアクセスに使用している通信ケーブルを誤って切断した
進捗
77 / 97 (79%)
この記事が気に入ったらサポートをしてみませんか?